Edge for Private Cloud v4.18.05
تتجاوز الحاجة إلى إدارة جدار الحماية مجرد المضيفين الظاهريين، إذ يجب أن تسمح جدران حماية كل من الجهاز الظاهري والجهاز المادي بالمرور للمنافذ المطلوبة من المكونات للتواصل مع بعضها.
الرسومات البيانية للمنافذ
توضِّح الصور التالية متطلبات المنافذ لكلّ من مركز بيانات واحد وإعدادات مراكز بيانات متعددة:
مركز بيانات واحد
تعرض الصورة التالية متطلبات المنفذ لكل مكوّن Edge في إعداد واحد لمركز البيانات:
ملاحظات حول هذا المخطّط البياني:
- المنافذ التي تبدأ بالبادئة "M" هي منافذ تُستخدَم لإدارة المكوّن ويجب أن تكون مفتوحة على المكوّن ليصل إليها "خادم الإدارة".
- تتطلّب واجهة مستخدم Edge الوصول إلى جهاز التوجيه على المنافذ التي تعرضها الخوادم الوكيلة لواجهة برمجة التطبيقات لإتاحة الزر إرسال في أداة التتبُّع.
- يمكن ضبط الوصول إلى منافذ JMX لطلب اسم مستخدم/كلمة مرور. يمكنك الاطّلاع على مقالة كيفية المراقبة للحصول على مزيد من المعلومات.
- يمكنك اختياريًا ضبط إمكانية الوصول إلى بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لاتصالات معيّنة، والتي يمكن أن تستخدم منافذ مختلفة. اطّلِع على بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة للحصول على المزيد من المعلومات.
- يمكنك ضبط "خادم الإدارة" و"واجهة مستخدم Edge" لإرسال الرسائل الإلكترونية من خلال خادم SMTP خارجي. في هذه الحالة، يجب التأكّد من أنّ خادم الإدارة وواجهة المستخدم يمكنهما الوصول إلى المنفذ اللازم على خادم SMTP (غير معروض). بالنسبة إلى بروتوكول SMTP غير المستند إلى طبقة النقل الآمنة (TLS)، يكون رقم المنفذ عادةً 25. بالنسبة إلى بروتوكول SMTP المفعَّل به بروتوكول أمان طبقة النقل (TLS)، يكون الرقم غالبًا 465، ولكن يُرجى التحقّق من موفِّر بروتوكول SMTP.
مراكز بيانات متعددة
في حال تثبيت الإعداد المُجمَّع المكوّن من 12 عقدة مع مركزَي بيانات، تأكَّد من أنّ العقد في مركزَي البيانات يمكنها التواصل عبر المنافذ الموضّحة أدناه:
ملاحظة:
- يجب أن تكون جميع "خوادم الإدارة" قادرة على الوصول إلى جميع عقد Cassandra في جميع قواعد بيانات البيانات الأخرى.
- يجب أن يتمكّن جميع معالجي الرسائل في جميع مراكز البيانات من الوصول إلى بعضهم البعض عبر رقم المنفذ 4528.
- يجب أن يكون خادم الإدارة قادرًا على الوصول إلى جميع معالجات الرسائل عبر المنفذ 8082.
- يجب أن يتمكّن جميع خوادم الإدارة وجميع عقد Qpid من الوصول إلى Postgres في جميع مراكز البيانات الأخرى.
- لأسباب تتعلق بالأمان، يجب عدم فتح أي منافذ أخرى بين مراكز البيانات، باستثناء المنافذ الموضّحة أعلاه وأي منافذ أخرى مطلوبة لمتطلبات شبكتك.
تفاصيل المنفذ
يوضّح الجدول التالي المنافذ التي يجب فتحها في جدران الحماية، حسب مكوّن Edge:
| المكوّن | المنفذ | الوصف |
|---|---|---|
| منافذ HTTP العادية | 80, 443 | بروتوكول HTTP بالإضافة إلى أي منافذ أخرى تستخدمها للمضيفين الظاهريين |
| كاساندرا | 7000، 9042، 9160 | منافذ Apache Cassandra للتواصل بين عقد Cassandra وللوصول إليها من خلال مكوّنات Edge الأخرى |
| 7199 | منفذ JMX يجب أن يكون الوصول إليها متاحًا من خلال خادم الإدارة. | |
| LDAP | 10389 | OpenLDAP |
| خادم الإدارة | 1099 | منفذ JMX |
| 4526 | منفذ لتخزين مؤقت موزّع وطلبات الإدارة يمكن ضبط هذا المنفذ. | |
| 8080 | منفذ طلبات البيانات من واجهة برمجة التطبيقات لإدارة Edge تتطلّب هذه المكوّنات الوصول إلى المنفذ 8080 على "خادم الإدارة": جهاز التوجيه ومعالج الرسائل وواجهة المستخدم وPostgres وQpid. | |
| واجهة مستخدم الإدارة | 9000 | المنفذ الذي يمكن للمتصفّح من خلاله الوصول إلى واجهة المستخدم الخاصة بالإدارة |
| معالج الرسائل | 1101 | منفذ JMX |
| 4528 | للطلبات الموزّعة وطلبات الإدارة بين معالجات الرسائل، وللتواصل من جهاز التوجيه وخادم الإدارة
يجب أن يفتح "معالج الرسائل" المنفذ 4528 كمنفذ الإدارة. إذا كان لديك عدة معالجات رسائل، يجب أن يتمكّن كلّ منها من الوصول إلى الآخر عبر المنفذ 4528 (يُشار إليه بسهم الحلقة في المخطّط البياني أعلاه للمنفذ 4528 على "معالج الرسائل"). إذا كانت لديك مراكز بيانات متعددة، يجب أن يكون بالإمكان الوصول إلى المنفذ من جميع معالجات الرسائل في جميع مراكز البيانات. |
|
| 8082 |
منفذ الإدارة التلقائي لمعالج الرسائل، ويجب أن يكون مفتوحًا في المكوّن لمنح "خادم الإدارة" إذن الوصول إليه. في حال ضبط بروتوكول أمان طبقة النقل (TLS) أو بروتوكول طبقة المقابس الآمنة (SSL) بين "المسار" و"معالج الرسائل"، يتم استخدامه من قِبل "المسار" لإجراء عمليات التحقّق من الصحة في "معالج الرسائل". يجب أن يكون المنفذ 8082 على "معالج الرسائل" مفتوحًا للوصول إليه من خلال "الموجّه" فقط عند ضبط بروتوكول أمان طبقة النقل (TLS) أو بروتوكول طبقة المقابس الآمنة (SSL) بين "الموجّه" و"معالج الرسائل". في حال عدم ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) بين "الراوتر" و"معالج الرسائل"، يجب أن يكون المنفذ 8082 مفتوحًا على "معالج الرسائل" لإدارة المكوّن، ولكن لا يتطلّب "الراوتر" الوصول إليه. |
|
| 8443 | عند تفعيل بروتوكول TLS بين جهاز التوجيه ومعالج الرسائل، يجب فتح المنفذ 8443 على معالج الرسائل للسماح لجهاز التوجيه بالوصول إليه. | |
| 8998 | منفذ "معالج الرسائل" للاتصالات الواردة من "جهاز التوجيه" | |
| بوستشرس | 22 | في حال ضبط عُقدتَين في Postgres لاستخدام النسخ المتماثل لمستوى الاستعداد الرئيسي، عليك فتح المنفذ 22 على كل عقدة للوصول إلى بروتوكول النقل الآمن. |
| 1103 | منفذ JMX | |
| 4530 | لطلبات إدارة ذاكرة التخزين المؤقت الموزّعة | |
| 5432 | تُستخدَم للتواصل من Qpid/Management Server إلى Postgres | |
| 8084 | منفذ الإدارة التلقائي على خادم Postgres، ويجب أن يكون مفتوحًا على المكوّن للوصول إليه من خلال "خادم الإدارة". | |
| Qpid | 1102 | منفذ JMX |
| 4529 | لطلبات إدارة ذاكرة التخزين المؤقت الموزّعة | |
| 5672 |
|
|
| 8083 | منفذ الإدارة التلقائي على خادم Qpid، ويجب أن يكون مفتوحًا في المكوّن للسماح بخادم الإدارة بالوصول إليه. | |
| جهاز التوجيه | 4527 | لطلبات إدارة ذاكرة التخزين المؤقت الموزّعة
يجب أن يفتح جهاز التوجيه المنفذ 4527 كمنفذ الإدارة. إذا كان لديك عدة أجهزة توجيه، يجب أن يتمكّن كلّ جهاز من الوصول إلى الآخر عبر المنفذ 4527 (يُشار إليه بالسهم الدائري في المخطّط البياني أعلاه للمنفذ 4527 على جهاز التوجيه). على الرغم من أنّ ذلك ليس مطلوبًا، يمكنك فتح المنفذ 4527 على جهاز التوجيه للوصول إليه من خلال أي معالِج رسائل. وإذا لم يكن الأمر كذلك، قد تظهر لك رسائل خطأ في ملفات سجلّ "معالج الرسائل". |
| 8081 | منفذ الإدارة التلقائي لجهاز التوجيه ويجب فتحه على المكوِّن حتى يتمكّن خادم الإدارة من الوصول إليه | |
| 15999 |
منفذ التحقّق من الصحة يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان الموجه متاحًا. للحصول على حالة جهاز توجيه، يُرسل موازن الحمل طلبًا إلى المنفذ 15999 على جهاز التوجيه: curl -v http://routerIP:15999/v1/servers/self/reachable إذا كان جهاز التوجيه متاحًا، يعرض الطلب HTTP 200. |
|
| 59001 | المنفذ المستخدَم لاختبار تثبيت Edge بواسطة الأداة apigee-validate
تتطلّب هذه الأداة الوصول إلى المنفذ 59001 على جهاز التوجيه. راجِع مقالة
اختبار عملية التثبيت للحصول على مزيد من المعلومات عن المنفذ 59001. |
|
| SmartDocs | 59002 | المنفذ على جهاز توجيه Edge الذي يتم إرسال طلبات صفحات SmartDocs إليه. |
| ZooKeeper | 2181 | تُستخدَم من قِبل مكوّنات أخرى، مثل خادم الإدارة وجهاز التوجيه ومعالج الرسائل وما إلى ذلك. |
| 2888، 3888 | يُستخدَم هذا البروتوكول داخليًا من قِبل ZooKeeper لإنشاء مجموعة ZooKeeper (المعروفة باسم مجموعة ZooKeeper) للتواصل. |
يعرض الجدول التالي المنافذ نفسها، مُدرَجة رقميًا، مع مكوّنات المصدر والوجهة:
| رقم المنفذ | الغرض | المكوّن المصدر | مكوّن الوجهة |
|---|---|---|---|
| virtual_host_port | بروتوكول HTTP بالإضافة إلى أي منافذ أخرى تستخدمها لحركة بيانات طلبات بيانات واجهة برمجة التطبيقات الخاصة بالمضيف الافتراضي المنفذان 80 و443 هما الأكثر استخدامًا، ويمكن لجهاز توجيه الرسائل إنهاء اتصالات بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة. | العميل الخارجي (أو جهاز موازنة الحمل) | مستمع على "جهاز توجيه الرسائل" |
| من 1099 إلى 1103 | إدارة JMX | برنامج JMX Client | Management Server (1099) Message Processor (1101) Qpid Server (1102) Postgres Server (1103) |
| 2181 | التواصل مع عميل Zookeeper | خادم الإدارة جهاز التوجيه معالج الرسائل خادم Qpid خادم Postgres Server |
حارس حديقة حيوانات |
| 2888 و3888 | إدارة عمليات داخلية في Zookeeper | حارس حديقة حيوانات | حارس حديقة حيوانات |
| 4526 | منفذ إدارة RPC | خادم الإدارة | خادم الإدارة |
| 4527 | منفذ إدارة استدعاء إجراء عن بُعد لذاكرة التخزين المؤقت الموزعة ومكالمات الإدارة، والاتصالات بين أجهزة التوجيه | خادم الإدارة جهاز التوجيه |
جهاز التوجيه |
| 4528 | لطلبات ذاكرة التخزين المؤقت الموزَّعة بين معالجات الرسائل، وللتواصل من جهاز التوجيه | خادم الإدارة جهاز التوجيه وحدة معالجة الرسائل |
معالج الرسائل |
| 4529 | منفذ إدارة RPC للمكالمات المتعلقة بالذاكرة المؤقتة الموزّعة وإدارة المكالمات | خادم الإدارة | خادم Qpid |
| 4530 | منفذ إدارة RPC للمكالمات المتعلقة بالذاكرة المؤقتة الموزّعة وإدارة المكالمات | خادم الإدارة | خادم Postgres |
| 5432 | عميل Postgres | خادم Qpid | Postgres |
| 5672 |
|
خادم Qpid | خادم Qpid |
| 7000 | اتصالات بين العقد في Cassandra | كاساندرا | عقدة Cassandra أخرى |
| 7199 | إدارة JMX يجب أن يكون مفتوحًا للوصول إلى عقدة Cassandra من خلال "خادم الإدارة". | برنامج JMX client | كاساندرا |
| 8080 | منفذ Management API | برامج واجهة برمجة التطبيقات Management API | خادم الإدارة |
| 8081 إلى 8084 |
منافذ Component API، ويتم استخدامها لإصدار طلبات واجهة برمجة التطبيقات مباشرة إلى مكونات فردية. يفتح كل مكوّن من المكوّنات منفذًا مختلفًا، ويعتمد المنفذ المحدّد المستخدَم على الإعدادات، ولكن يجب أن يكون مفتوحًا في المكوّن ليتمكن "خادم الإدارة" من الوصول إليه. |
برامج واجهة برمجة التطبيقات Management API | Router (8081) Message Processor (8082) Qpid Server (8083) Postgres Server (8084) |
| 8443 | التواصل بين جهاز التوجيه ومعالج الرسائل عند تفعيل بروتوكول أمان طبقة النقل (TLS) | جهاز التوجيه | معالج الرسائل |
| 8998 | الاتصال بين جهاز التوجيه ومعالج الرسائل | جهاز التوجيه | معالج الرسائل |
| 9000 | منفذ واجهة المستخدم التلقائي لإدارة Edge | المتصفح | خادم واجهة المستخدم الإدارية |
| 9042 | النقل الأصلي لـ CQL | الموجه معالِج الرسائل خادم الإدارة |
كاساندرا |
| 9160 | برنامج Cassandra thrift client | الموجه معالِج الرسائل خادم الإدارة |
كاساندرا |
| 10389 | منفذ LDAP | خادم الإدارة | OpenLDAP |
| 15999 | منفذ التحقّق من الصحة يستخدم جهاز موازنة الحمل هذا المنفذ لتحديد ما إذا كان الموجه متاحًا. | جهاز موازنة الحمل | جهاز التوجيه |
| 59001 | المنفذ الذي تستخدمه الأداة المساعدة "apigee-validate" لاختبار تثبيت Edge |
apigee-validate | جهاز التوجيه |
| 59002 | منفذ جهاز التوجيه الذي يتم إرسال طلبات صفحة Smart Docs إليه | SmartDocs | جهاز التوجيه |
يحافظ "معالج الرسائل" على مجموعة اتصالات مخصّصة مفتوحة مع Cassandra، ويتم ضبطها بحيث لا تنتهي مهلة الاتصال أبدًا. عندما يكون جدار الحماية بين معالج الرسائل وخادم Cassandra، يمكن أن يؤدي جدار الحماية إلى إنهاء الاتصال. ومع ذلك، لم يتم تصميم "معالج الرسائل" للقيام بمحاولة إعادة إنشاء اتصالات مع Cassandra.
لتجنُّب حدوث ذلك، تنصح Apigee بأن يكون خادم Cassandra ومعالج الرسائل و أجهزة التوجيه في الشبكة الفرعية نفسها حتى لا يتم استخدام جدار الحماية في نشر هذه المكوّنات.
إذا كان هناك جدار حماية بين جهاز التوجيه ومعالجات الرسائل، وتم ضبط مهلة TCP غير النشطة، ننصحك باتّباع الخطوات التالية:
- اضبط
net.ipv4.tcp_keepalive_time = 1800في إعدادات sysctl على نظام التشغيل Linux، حيث يجب أن تكون القيمة 1800 أقل من مهلة tcp غير النشطة لجدار الحماية. من المفترض أن يحافظ هذا الإعداد على الاتصال في حالة تأسيس حتى لا يقطع جدار الحماية الاتصال. - في جميع معالجات الرسائل، عدِّل
/opt/apigee/customer/application/message-processor.propertiesلإضافة السمة التالية. إذا لم يكن الملف متوفّرًا، أنشئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- إعادة تشغيل معالج الرسائل:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- على جميع أجهزة التوجيه، عدِّل
/opt/apigee/customer/application/router.propertiesلإضافة السمة التالية. إذا لم يكن الملف متوفّرًا، أنشِئه.conf_system_cassandra.maxconnecttimeinmillis=-1
- إعادة تشغيل جهاز التوجيه:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart